EternalBlue es un exploit peligroso que permite a un atacante remoto ejecutar código arbitrario en una computadora vulnerable sin autenticación. Afecta a los sistemas operativos Windows.
El atacante puede enviar un paquete especialmente diseñado al servicio SMB en la computadora objetivo y obtener acceso a la misma. Esta vulnerabilidad permite la propagación del malware de forma rápida y eficiente en una red infectada.
Cómo nació el EternalBlue
Fue desarrollado originalmente por la NSA en 2017 en Estados Unidos. Fue utilizado en el ataque ransomware WannaCry causando daños económicos importantes en todo el mundo. Un grupo de hackers conocido como «The Shadow Brokers» hackeó a la NSA y filtró una serie de herramientas y exploits de ciberataque, incluyendo EternalBlue.
La historia de EternalBlue es un recordatorio de cómo las herramientas de ciberataque pueden ser peligrosas si caen en las manos equivocadas y de la importancia de la ciberseguridad en la era digital.
Ataques causados por el EternalBlue
Los tres ataques que más destacan son el WannaCry, NotPetya y Bad Rabbit, siendo algunos de los ciberataques más notorios en la historia reciente. Cada uno de ellos tuvo un impacto significativo en organizaciones y usuarios de todo el mundo.
El ataque WannaCry
Mencionado anteriormente, afectó principalmente a organizaciones de salud, transporte y telecomunicaciones.
El ataque NotPetya
Tuvo lugar en junio de 2017, se propagó a través de una actualización de software malintencionada del programa de contabilidad ucraniano MEDoc. Se propagó y afectó a empresas de todo el mundo, incluidas Maersk, FedEx y Mondelez.
El ataque Bad Rabbit
Ocurrió en octubre de 2017, fue un ransomware que se propagó a través de sitios web comprometidos. Las víctimas fueron engañadas para que se descargaran un archivo de actualización de Adobe Flash falso. Afectó a importantes organizaciones en Rusia y Ucrania, incluidos aeropuertos y medios de comunicación.
¿Cómo utilizan el Eternal Blue los ciberdelincuentes?
Los ciberdelincuentes utilizan EternalBlue de varias formas, pero su método más notorio fue a través del ransomware WannaCry. Este ataque se propagó de la siguiente manera:
Primero, a través de la propagación masiva. WannaCry aprovechó la vulnerabilidad EternalBlue para propagarse rápidamente a través de la red de una organización. Una vez infectado, el malware buscaba otros sistemas vulnerables en la misma red y se propagaba de manera automática, lo que resultó en una rápida expansión del ataque.
Continuaron con el cifrado de archivos, haciendo que fueran inaccesibles para el usuario. Luego, solicitaba un rescate en Bitcoin a cambio de la clave de descifrado. Esto llevó a la extorsión, los ciberdelincuentes utilizaron la amenaza de borrar permanentemente los archivos cifrados si no se pagaba el rescate.
Así se llegó a un impacto global, WannaCry se propagó a nivel mundial en un corto período de tiempo, afectando a organizaciones e instituciones críticas como hospitales, sistemas de transporte y empresas. Esto generó un caos y puso de manifiesto la importancia de mantener los sistemas actualizados y protegidos.
¿Cómo prevenir un ataque de EternalBlue?
Para prevenir un ataque del EternalBlue, se recomienda tomar una serie de medidas de seguridad, que incluyen:
- Mantener actualizados los sistemas operativos y software: es importante asegurarse de que se han corregido las vulnerabilidades conocidas.
- Utilizar soluciones de seguridad: se deben utilizar firewalls, antivirus y sistemas de detección de intrusiones, que ayuden a detectar y bloquear posibles ataques.
- Restringir el acceso a los recursos compartidos: se deben limitar para que solo los usuarios autorizados puedan acceder a ellos.
- Desactivar el protocolo SMBv1: se recomienda ya que es vulnerable a ataques del tipo EternalBlue.
- Utilizar redes privadas virtuales (VPN): para proteger la comunicación entre los equipos, especialmente si se accede a redes públicas o a través de internet.
- Realizar copias de seguridad: es importante ejecutarlas, para poder recuperarlas en caso de un ataque exitoso.
- Educar a los usuarios: no se deben abrir correos electrónicos o archivos adjuntos sospechosos, no descargar software de fuentes no confiables, y no compartir información confidencial.
- Realizar pruebas de seguridad: como análisis de vulnerabilidades y pruebas de penetración, para detectar posibles debilidades en la infraestructura y aplicar medidas correctivas.